Geheime Office 365-API zum Ausspähen von Benutzern

Das Sicherheitsunternehmen CrowdStrike hat entdeckt, dass Office-365-Administratoren die Aktivitäten von Anwendern ausspionieren können. Die Funktion in Office 365, die das Abrufen von Outlook-Postfach-Aktivitätsprotokollen ermöglicht, die weit über die Granularität bestehender, dokumentierter Office 365-Protokollquellen wie dem Unified Audit Log hinausgeht, wurde bei einer Sicherheitsuntersuchung entdeckt.

Diese Funktion stellt den Zugriff auf ein immer eingeschaltetes Mailbox-Aktivitätsaufzeichnungssystem dar, das standardmäßig für alle Benutzer aktiv ist. Die Funktion besteht aus einer Web-API, die Exchange Web Services (EWS) verwendet, um Office 365 Outlook-Postfachaktivitäten abzurufen. Auf die API kann jeder zugreifen, der den API-Endpunkt und einen bestimmten HTTP-Header kennt. Die Aktivitäten werden für alle Benutzer erfasst und bis zu sechs Monate aufbewahrt. Es ist möglich, Mailbox-Aktivitäten für bestimmte Zeiträume zu erfassen. Microsoft hat seine Kunden nicht informiert, dass eine solche Schnittstelle existiert und das Abhören auch aktiv ist. Auch deutsche Kunden sind davon betroffen. Administratoren haben auch hier die Möglichkeit Daten auszulesen. Die Vorgehensweise dazu zeigt CrowdStrike im zugehörigen Blogbeitrag.

Quelle: Geheime Office 365-API zum Ausspähen von Benutzern | www.security-insider.de